Partager via


Planifier la sécurité pour un environnement de collaboration sécurisé externe (Windows SharePoint Services)

Mise à jour : 2009-04-16

Dans cet article :

  • Protéger les serveurs principaux

  • Sécuriser les communications client-serveur

  • Sécuriser le site Administration centrale

  • Sécuriser la liste de vérification pour une conception sécurisée

  • Planifier le renforcement de la sécurité pour les rôles de serveur

  • Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services

Les conseils de sécurité pour un environnement sécurisé externe portent sur l’hébergement de contenu dans un extranet en vue de son exploitation commune avec des collaborateurs qui ne disposent pas d’un accès général à votre réseau d’entreprise. Cet environnement permet aux partenaires externes de participer à un flux de travail ou de collaborer au contenu avec les employés de votre organisation.

Il existe plusieurs recommandations uniques pour un environnement de collaboration sécurisé externe. Certaines de ces recommandations peuvent ne pas être pratiques pour toutes les solutions.

Protéger les serveurs principaux

La collaboration sécurisée externe nécessite des serveurs Internet. Vous pouvez limiter l’exposition au trafic à partir d’Internet en protégeant les serveurs principaux :

  • Protéger les serveurs de base de données : au minimum, placez un pare-feu entre les serveurs Web frontaux et les serveurs qui hébergent les bases de données. Certains environnements exigent que les serveurs de base de données soient hébergés sur un réseau interne et non directement dans un environnement extranet.

  • Protéger le rôle d’index : le composant d’index communique par le biais d’un serveur Web frontal pour analyser le contenu des sites. Pour protéger ce canal de communication, envisagez de configurer un serveur Web frontal dédié pour une utilisation par un ou plusieurs serveurs d’index. Cela isole la communication d’analyse sur un serveur Web frontal qui n’est pas accessible aux utilisateurs. En outre, configurez les services Internet (IIS) afin de limiter l’accès à SiteData.asmx (le service SOAP du robot) uniquement au serveur d’index (ou autres robots). Le fait de fournir un serveur Web frontal dédié à l’analyse de contenu améliore également les performances en réduisant la charge sur les serveurs Web frontaux principaux, ce qui permet d’améliorer l’expérience de l’utilisateur.

Sécuriser les communications client-serveur

La collaboration sécurisée dans un environnement extranet s’appuie sur une communication sécurisée entre les ordinateurs clients et l’environnement de batterie de serveurs. Le cas échéant, utilisez SSL (Secure Sockets Layer) pour sécuriser la communication entre les ordinateurs clients et serveurs. Pour renforcer la sécurité, envisagez les mesures suivantes :

  • Exigez des certificats sur les ordinateurs clients. SSL peut être implémenté sans exiger de certificats clients. Vous pouvez augmenter la sécurité de la collaboration externe en exigeant des certificats sur tous les ordinateurs clients.

  • Utilisez IPsec. Si les ordinateurs clients prennent en charge IPsec, vous pouvez configurer des règles IPsec pour atteindre un niveau ou une granularité de sécurité supérieur par rapport à SSL.

Sécuriser le site Administration centrale

Étant donné que les utilisateurs externes ont accès à la zone réseau, il est important de sécuriser le site Administration centrale pour bloquer l’accès externe et sécuriser l’accès interne :

  • Assurez-vous que le site Administration centrale n’est pas hébergé sur un serveur Web frontal.

  • Bloquez l’accès externe sur le site Administration centrale. Cela est possible en plaçant un pare-feu entre les serveurs Web frontaux et le serveur qui héberge le site Administration centrale.

  • Configurez le site Administration centrale à l’aide de SSL. Cela garantit que la communication entre le réseau interne et le site Administration centrale est sécurisée.

Sécuriser la liste de vérification pour une conception sécurisée

Utilisez cette liste de vérification pour une conception sécurisée avec les listes de vérification disponibles dans Planifier la sécurité de la batterie de serveurs (Windows SharePoint Services).

Topologie

[ ]

Protégez les serveurs principaux en plaçant au moins un pare-feu entre les serveurs Web frontaux et les serveurs d’applications et de base de données.

[ ]

Planifiez un serveur Web frontal dédié à l’analyse du contenu. N’incluez pas ce serveur Web frontal dans la rotation de serveur Web frontal de l’utilisateur final.

Architecture logique

[ ]

Bloquez l’accès au site Administration centrale et configurez SSL pour ce site.

[ ]

Protégez les sites d’administration SSP en configurant ces sites à l’aide de SSL, en les hébergeant dans une application Web dédiée et en configurant une stratégie pour refuser l’accès externe à ces sites.

Planifier le renforcement de la sécurité pour les rôles de serveur

Le tableau ci-dessous décrit des recommandations supplémentaires de renforcement de la sécurité pour un environnement de collaboration sécurisé externe.

Composant Recommandation

Ports

Bloquez l’accès externe au port pour le site Administration centrale.

Services Internet (IIS)

Limitez l’accès à SiteData.asmx (le service SOAP du robot) au serveur d’index (ou autres robots) uniquement.

Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services

Le tableau ci-dessous décrit des recommandations supplémentaires pour la sécurisation des fonctionnalités Windows SharePoint Services 3.0. Ces recommandations sont appropriées pour un environnement de collaboration sécurisé externe.

Fonctionnalité ou domaine Recommandation

Authentification

Utilisez SSL pour les utilisateurs authentifiés. Cela ne s’applique pas à l’utilisateur anonyme qui navigue sur le site.

Autorisation

Utilisez une stratégie de sécurité pour délimiter l’autorisation accordée aux utilisateurs externes (créez des stratégies de refus pour limiter les opérations que les utilisateurs externes peuvent effectuer).

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.